Escolar Documentos
Profissional Documentos
Cultura Documentos
DECLARAO DE PRTICAS DE CERTIFICAO DA AUTORIDADE CERTIFICADORA RAIZ DA ICP-BRASIL DOC-ICP-01 - verso 4.1 17 de junho de 2010
1/34
Sumrio
1. INTRODUO...............................................................................................................................9 1.1. Viso Geral...............................................................................................................................9 1.2. Identificao.............................................................................................................................9 1.3. Comunidade e Aplicabilidade...................................................................................................9 1.4. Dados de Contato.....................................................................................................................9 2. DISPOSIES GERAIS.................................................................................................................9 2.1. Obrigaes..............................................................................................................................10 2.1.1. Obrigaes da AC Raiz...................................................................................................10 2.1.2. Obrigaes da AR...........................................................................................................10 2.1.3. Obrigaes do Titular do Certificado..............................................................................10 2.1.5. Obrigaes do Repositrio..............................................................................................11 2.2. Responsabilidades..................................................................................................................11 2.2.1. Responsabilidades da AC Raiz.......................................................................................11 2.2.2 Responsabilidades da AR.................................................................................................11 2.3. Responsabilidade Financeira..................................................................................................11 2.3.1. Indenizaes pelos usurios de certificados...................................................................11 2.3.2. Relaes Fiducirias.......................................................................................................11 2.3.3. Processos Administrativos..............................................................................................11 2.4. Interpretao e Execuo........................................................................................................11 2.4.1. Legislao.......................................................................................................................11 2.4.2. Forma de interpretao e notificao..............................................................................11 2.4.3. Procedimentos de soluo de disputa.............................................................................12 2.5. Tarifas de Servio...................................................................................................................12 2.5.1. Tarifas de emisso e renovao de certificados..............................................................12 2.5.2. Tarifas de acesso ao certificado......................................................................................12 2.5.3. Tarifas de revogao ou de acesso informao de status.............................................12 2.5.4. Tarifas para outros servios............................................................................................12 2.6 Publicao e Repositrio.........................................................................................................12 2.6.1. Publicao de informao da AC Raiz...........................................................................12 2.6.2. Freqncia de publicao ...............................................................................................12 2.6.3. Controles de acesso.........................................................................................................13 2.6.4. Repositrios....................................................................................................................13 2.7. Fiscalizao e Auditoria de Conformidade ............................................................................13 2.8. Sigilo.......................................................................................................................................13 2.8.1. Tipos de informaes sigilosas.......................................................................................13 2.8.2. Tipos de informaes no sigilosas................................................................................13 2.8.3. Divulgao de informao de revogao/suspenso de certificado................................14 2.8.5. Informaes a terceiros ..................................................................................................14 2.8.6. Divulgao por solicitao do titular..............................................................................14
Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v4.1 2/34
2.9. Direitos de Propriedade Intelectual........................................................................................14 3. IDENTIFICAO E AUTENTICAO.....................................................................................14 3.1. Registro Inicial.......................................................................................................................14 3.1.1. Tipos de nomes...............................................................................................................14 3.1.2. Necessidade de nomes significativos..............................................................................14 3.1.3. Regras para interpretao de vrios tipos de nomes ......................................................14 3.1.4. Unicidade de nomes........................................................................................................15 3.1.5. Procedimento para resolver disputa de nomes................................................................15 3.1.6. Reconhecimento, autenticao e papel de marcas registradas........................................15 3.1.7. Mtodo para comprovar a posse de chave privada ........................................................15 3.1.8. Identificao de uma organizao...................................................................................15 3.1.9. Autenticao da identidade de um indivduo..................................................................15 3.2. Criao de novo par de chaves antes da expirao do atual...................................................15 3.3. Criao de novo par de chaves aps revogao.....................................................................15 3.4. Solicitao de Revogao.......................................................................................................16 4. REQUISITOS OPERACIONAIS..................................................................................................16 4.1. Solicitao de Certificado.......................................................................................................16 4.2. Emisso de Certificado ..........................................................................................................16 4.3. Aceitao de Certificado ........................................................................................................16 4.4. Suspenso e Revogao de Certificado .................................................................................17 4.4.1. Circunstncias para revogao .......................................................................................17 4.4.2. Quem pode solicitar revogao ......................................................................................17 4.4.3. Procedimento para solicitao de revogao .................................................................17 4.4.4. Prazo para solicitao de revogao ..............................................................................18 4.4.5. Circunstncias para suspenso .......................................................................................18 4.4.6. Quem pode solicitar suspenso ......................................................................................18 4.4.7. Procedimento para solicitao de suspenso .................................................................18 4.4.8. Limites no perodo de suspenso ...................................................................................18 4.4.9. Freqncia de emisso de LCR .....................................................................................18 4.4.10. Requisitos para verificao de LCR ............................................................................18 4.4.11. Disponibilidade para revogao/verificao de status on-line .....................................18 4.4.12. Requisitos para verificao de revogao on-line .......................................................18 4.4.13. Outras formas disponveis para divulgao de revogao............................................19 4.4.14. Requisitos para verificao de outras formas de divulgao de revogao .................19 4.4.15. Requisitos especiais para o caso de comprometimento de chave ................................19 4.5. Procedimentos de Auditoria de Segurana ............................................................................19 4.5.1. Tipos de eventos registrados ..........................................................................................19 4.5.2. Freqncia de auditoria de registros ..............................................................................20 4.5.3. Perodo de reteno para registros de auditoria .............................................................20 4.5.4. Proteo de registros de auditoria ..................................................................................20 4.5.5. Procedimentos para cpia de segurana (Backup) de registros de auditoria..................20 4.5.6. Sistema de coleta de dados de auditoria ........................................................................20 4.5.7. Notificao de agentes causadores de eventos ..............................................................20 4.5.8. Avaliaes de vulnerabilidade .......................................................................................20
Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v4.1 3/34
4.6. Arquivamento de Registros....................................................................................................20 4.6.1. Tipos de registros arquivados ........................................................................................20 4.6.2. Perodo de reteno para arquivo ...................................................................................20 4.6.3. Proteo de arquivo .......................................................................................................21 4.6.4. Procedimentos de registros de arquivo ..........................................................................21 4.6.5. Requisitos para datao de registros ..............................................................................21 4.6.6. Sistema de coleta de dados de arquivo ..........................................................................21 4.6.7. Procedimentos para obter e verificar informao de arquivo ........................................21 4.7. Troca de chave .......................................................................................................................21 4.8. Comprometimento e Recuperao de Desastre .....................................................................21 4.8.1. Recursos computacionais, software, e/ou dados corrompidos ......................................21 4.8.2. Revogao de certificado da entidade ...........................................................................22 4.8.3. Comprometimento de chave de entidade .......................................................................22 4.8.4. Segurana dos recursos aps desastre de qualquer espcie ...........................................22 4.9. Extino da AC Raiz .............................................................................................................22 5. CONTROLES DE SEGURANA FSICA, PROCEDIMENTAL E DE PESSOAL ...................22 5.1. Controles Fsicos ...................................................................................................................22 5.1.1. Construo e localizao das instalaes .......................................................................22 5.1.2. Acesso fsico ..................................................................................................................22 5.1.3. Energia e ar condicionado ..............................................................................................22 5.1.4. Exposio gua ...........................................................................................................23 5.1.5. Preveno e proteo contra incndio ...........................................................................23 5.1.6. Armazenamento de mdia ..............................................................................................23 5.1.7. Destruio de lixo ..........................................................................................................23 5.1.8. Instalaes de segurana (backup) externas (off-site) para AC......................................23 5.2. Controles Procedimentais ......................................................................................................23 5.2.1. Perfis qualificados ..........................................................................................................23 5.2.2. Nmero de pessoas necessrio por tarefa ......................................................................24 5.2.3. Identificao e autenticao para cada perfil .................................................................24 5.3. Controles de Pessoal...............................................................................................................24 5.3.1. Antecedentes, qualificao, experincia e requisitos de idoneidade .............................24 5.3.2. Procedimentos de verificao de antecedentes ..............................................................24 5.3.3. Requisitos de treinamento ..............................................................................................25 5.3.4. Freqncia e requisitos para reciclagem tcnica ............................................................25 5.3.5. Freqncia e seqncia de rodzio de cargos .................................................................25 5.3.6. Sanes para aes no autorizadas ...............................................................................25 5.3.7. Requisitos para contratao de pessoal ..........................................................................25 5.3.8. Documentao fornecida ao pessoal ..............................................................................25 6. CONTROLES TCNICOS DE SEGURANA ...........................................................................25 6.1. Gerao e Instalao do Par de Chaves .................................................................................25 6.1.1. Gerao do par de chaves ..............................................................................................25 6.1.2. Entrega da chave privada entidade ..............................................................................26 6.1.3. Entrega da chave pblica para emissor de certificado ...................................................26 6.1.4. Disponibilizao de chave pblica da AC Raiz para usurio.........................................26
Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v4.1 4/34
6.1.5. Tamanhos de chave ........................................................................................................26 6.1.6. Gerao de parmetros de chaves assimtricas .............................................................26 6.1.7. Verificao da qualidade dos parmetros .......................................................................26 6.1.8. Gerao de chave por hardware/software ......................................................................26 6.1.9. Propsitos de uso de chave (conforme o campo key usage na X.509 v3) .................27 6.2. Proteo da Chave Privada ....................................................................................................27 6.2.1. Padres para mdulo criptogrfico ................................................................................27 6.2.2. Controle n de m para chave privada ...........................................................................27 6.2.3. Custdia (escrow) de chave privada ..............................................................................27 6.2.4. Cpia de segurana de chave privada ............................................................................27 6.2.5. Arquivamento de chave privada ....................................................................................27 6.2.6. Insero de chave privada em mdulo criptogrfico .....................................................27 6.2.7. Mtodo de ativao de chave privada ............................................................................27 6.2.8. Mtodo de desativao de chave privada ......................................................................27 6.2.9. Mtodo de destruio de chave privada .........................................................................28 6.3 Outros Aspectos do Gerenciamento do Par de Chaves ..........................................................28 6.3.1. Arquivamento de chave pblica .....................................................................................28 6.3.2. Perodos de uso para as chaves pblica e privada .........................................................28 6.4 Dados de Ativao ..................................................................................................................28 6.4.1. Gerao e instalao dos dados de ativao ..................................................................28 6.4.2. Proteo dos dados de ativao .....................................................................................28 6.4.3. Outros aspectos dos dados de ativao ..........................................................................28 6.5. Controles de Segurana Computacional ................................................................................28 6.5.1. Requisitos tcnicos especficos de segurana computacional .......................................28 6.5.2. Classificao da segurana computacional ....................................................................29 6.6. Controles Tcnicos do Ciclo de Vida ....................................................................................29 6.6.1. Controles de desenvolvimento de sistema .....................................................................29 6.6.2. Controles de gerenciamento de segurana .....................................................................29 6.6.3. Classificaes de segurana de ciclo de vida .................................................................29 6.7. Controles de Segurana de Rede ...........................................................................................29 6.8. Controles de Engenharia do Mdulo Criptogrfico ..............................................................29 7. PERFIS DE CERTIFICADO E LCR ............................................................................................29 7.1. Perfil de Certificado da AC Raiz ...........................................................................................29 7.1.1. Nmero de verso ..........................................................................................................29 7.1.2. Extenses de certificado ................................................................................................30 7.1.3. Identificadores de algoritmo ..........................................................................................30 7.1.4. Formatos de nome ..........................................................................................................30 7.1.5. Restries de nome ........................................................................................................31 7.1.6. OID (Object Identifier) da DPC .....................................................................................31 7.1.7. Uso da extenso Policy Constraints ...........................................................................31 7.1.8. Sintaxe e semntica dos qualificadores de poltica ........................................................31 7.1.9. Semntica de processamento para as extenses crticas de PC......................................31 7.2. Perfil de Certificado da AC de nvel subseqente ao da AC Raiz..........................................31 7.2.1. Nmero(s) de verso ......................................................................................................31
Declarao de Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v4.1 5/34
7.2.2. Extenses de certificado ................................................................................................31 7.2.3. Identificadores de algoritmo ..........................................................................................31 7.2.4. Formatos de nome ..........................................................................................................31 7.2.5. Restries de nome ........................................................................................................32 7.2.6. OID (Object Identifier) da DPC .....................................................................................32 7.2.7. Uso da extenso Policy Constraints ...........................................................................32 7.2.8. Sintaxe e semntica dos qualificadores de poltica ........................................................32 7.2.9. Semntica de processamento para as extenses crticas de PC .....................................32 7.3. Perfil de LCR .........................................................................................................................32 7.3.1. Nmero(s) de verso ......................................................................................................32 7.3.2. Extenses de LCR e de suas entradas ............................................................................32 8. ADMINISTRAO DE ESPECIFICAO ...............................................................................33 8.1. Procedimentos de mudana de especificao ........................................................................33 8.2. Polticas de publicao e notificao .....................................................................................33 8.3. Procedimentos de aprovao da DPC ....................................................................................33 9. DOCUMENTOS REFERENCIADOS .........................................................................................33
6/34
CONTROLE DE ALTERAES
Resoluo que aprovou alterao Resoluo 81, de 17.06.2010 (verso 4.1) Resoluo 50, de 19.11.2008 (verso 4.0) Resoluo n 49, de 03.06.08 (verso 3.0) Item Alterado 7.1.2, 7.1.4, 7.2.4 Descrio da Alterao Incluso das cadeias V2 e V3
2.1.1.g, 2.7.1, 2.8.2.2, 2.8.2.3, 6.1.4.2.c Incluso de referncias a Carimbo de tempo 1.1.1, 1.1.2, 2.1.1, 2.1.4.2, 2.6.1.1, Item alterado ou excludo em funo 2.6.3.1, 2.8.3, 4.4.1.4, 4.4.1.5, 4.4.1.7, da gerao da segunda chave da AC 4.4.9, 4.4.10, 5.2.1.6, 6.1.1.1, 6.1.1.3, Raiz 6.1.8, 6.1.9, 6.2, 6.2.1, 6.2.2, 6.2.4.1, 6.2.6, 6.2.7, 6.2.8, 6.2.9, 6.3.2, 6.4.1, 6.4.2, 6.5.1.1, 6.6.2, 6.7, 6.8, 7.1, 7.1.1, 7.1.2, 7.1.3, 7.1.4, 7.3, 7.3.1, 7.3.2
excludo
para
Item alterado para atualizao de padro internacional Item alterado para ficar em conformidade com o padro internacional Alterada a URL da pgina Web da AC Raiz para http://acraiz.icpbrasil.gov.br Criao do DOC-ICP-01 consolidando documentos anteriores
Resoluo 46, de 03.12.2007 (verso 2.1) Resoluo 38, de 18.04.2006 (verso 2.0)
2.6.1.1
Diversos
7/34
8/34
1.2. Identificao
Esta DPC chamada "DECLARAO DE PRTICAS DE CERTIFICAO DA AUTORIDADE CERTIFICADORA RAIZ DA ICP-BRASIL" e comumente referida como "DPC da AC Raiz". O Object Identifier OID desta DPC 2.16.76.1.1.
2. DISPOSIES GERAIS
9/34
2.1. Obrigaes
2.1.1. Obrigaes da AC Raiz Constituem obrigaes da AC Raiz: a) a gerao e o gerenciamento do seu par de chaves criptogrficas; b) a emisso e distribuio do seu certificado digital; c) a emisso, a expedio e a distribuio de certificados de AC de nvel imediatamente subseqente ao seu; d) a publicao de certificados por ela emitidos; e) a revogao de certificados por ela emitidos; f) a emisso, o gerenciamento e a publicao de sua Lista de Certificados Revogados LCR; g) a fiscalizao e a auditoria das ACs, das Autoridades de Carimbo do Tempo (ACTs), das ARs e dos Prestadores de Servio de Suporte (PSS) habilitados em conformidade com os critrios estabelecidos pelo Comit Gestor da ICP-Brasil (CG da ICP-Brasil); h) a implementao de acordos de certificao cruzada, conforme as diretrizes estabelecidas pelo CG da ICP-Brasil; i) adotar medidas de segurana e controle, previstas nesta DPC e na POLTICA DE SEGURANA DA ICP-BRASIL [1], envolvendo seus processos, procedimentos e atividades; j) manter os processos, procedimentos e atividades em conformidade com a legislao vigente e com as normas, prticas e regras estabelecidas pelo CG da ICP-Brasil; k) manter e garantir a integridade, o sigilo e a segurana da informao por ela tratada; e l) manter e testar regularmente seu Plano de Continuidade de Negcio (PCN). 2.1.2. Obrigaes da AR No se aplica. 2.1.3. Obrigaes do Titular do Certificado 2.1.3.1. Toda informao necessria para a identificao da AC titular de certificado deve ser fornecida de forma completa e precisa. Ao aceitar o certificado emitido pela AC Raiz, a AC titular responsvel por todas as informaes por ela fornecidas, contidas nesse certificado. 2.1.3.2. A AC titular de certificado emitido pela AC Raiz deve operar de acordo com a sua prpria Declarao de Prticas de Certificao (DPC) e com as Polticas de Certificado (PC) que implementar, estabelecidos em conformidade com os documentos REQUISITOS MNIMOS PARA AS DECLARAES DE PRTICAS DE CERTIFICAO DAS AUTORIDADES CERTIFICADORAS DA ICP-BRASIL [2] e REQUISITOS MNIMOS PARA POLTICAS DE CERTIFICADO NA ICP-BRASIL [3]. 2.1.3.3. A AC titular deve utilizar sua chave privada e garantir a proteo dessa chave conforme o previsto na sua prpria DPC. 2.1.3.4. A AC titular deve informar AC Raiz qualquer comprometimento de sua chave privada e solicitar a imediata revogao do seu certificado. 2.1.4. Direitos da terceira parte (Relying Party). 2.1.4.1 Considera-se terceira parte, a parte que confia no teor, validade e aplicabilidade do certificado digital. 2.1.4.2. Constituem direitos da terceira parte: a) recusar a utilizao do certificado para fins diversos dos previstos nesta DPC; b) verificar, a qualquer tempo, a validade do certificado. O certificado da AC Raiz ou um certificado de AC de nvel imediatamente subseqente ao da AC Raiz considerado vlido quando: i. tiver sido emitido pela AC Raiz; ii. no constar da LCR da AC Raiz;
10/34
iii. no estiver expirado; e; iv. puder ser verificado com o uso do certificado vlido da AC Raiz. 2.1.5. Obrigaes do Repositrio So disponibilizados no repositrio da AC Raiz, logo aps sua emisso, os certificados por ela emitidos e sua LCR.
2.2. Responsabilidades
2.2.1. Responsabilidades da AC Raiz A AC Raiz responde pelos danos a que der causa. 2.2.2 Responsabilidades da AR No se aplica.
11/34
2.4.3. Procedimentos de soluo de disputa No caso de um conflito entre esta DPC e outras resolues do CG da ICP-Brasil, prevalecer sempre a ltima editada.
12/34
2.6.3. Controles de acesso 2.6.3.1. No h qualquer restrio ao acesso para consulta a esta DPC, aos certificados emitidos e LCR da AC Raiz. 2.6.3.2. So utilizados controles de acesso apropriados para restringir a possibilidade de escrita ou modificao dessas informaes a pessoal autorizado. 2.6.4. Repositrios O repositrio da AC Raiz est disponvel para consulta durante 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana.
2.8. Sigilo
A chave privada de assinatura digital de cada AC credenciada gerada e mantida pela prpria AC, que deve assegurar seu sigilo. A divulgao ou utilizao indevida da chave privada de assinatura pela AC de sua inteira responsabilidade. 2.8.1. Tipos de informaes sigilosas Como princpio geral, todo documento, informao ou registro fornecido AC Raiz ser sigiloso. 2.8.2. Tipos de informaes no sigilosas 2.8.2.1. Certificados, LCR, e informaes corporativas ou pessoais que necessariamente faam parte deles ou de diretrios pblicos so consideradas informaes no sigilosas. 2.8.2.2. Os seguintes documentos da AC Raiz, das ACs de nvel imediatamente subseqente ao seu e das ACTs tambm so considerados documentos no sigilosos: a) qualquer PC aplicvel; b) qualquer DPC; c) qualquer PCT aplicvel; d) qualquer DPCT; e) verses pblicas de Poltica de Segurana - PS; f) a concluso dos relatrios da auditoria.
13/34
2.8.2.3. A AC Raiz tambm poder divulgar, de forma consolidada ou segmentada por tipo de certificado, a quantidade de certificados ou carimbos de tempo emitidos no mbito da ICP-Brasil. vedada, porm, a divulgao desse informao segmentada por AC ou AR emitentes. 2.8.3. Divulgao de informao de revogao/suspenso de certificado Informaes sobre revogao de certificados de AC de nvel imediatamente subseqente ao da AC Raiz so fornecidas na LCR da AC Raiz. As razes para a revogao de certificado sero tornadas pblicas. A suspenso de certificados no admitida no mbito da ICP-Brasil. 2.8.4. Quebra de sigilo por motivos legais Mediante ordem judicial, sero fornecidos quaisquer documentos, informaes ou registros sob a guarda da AC Raiz. 2.8.5. Informaes a terceiros Como diretriz geral, nenhum documento, informao ou registro sob a guarda da AC Raiz ser fornecido a qualquer pessoa, exceto quando a pessoa que requerer, atravs de instrumento devidamente constitudo, seja autorizada para faz-lo e esteja corretamente identificada. 2.8.6. Divulgao por solicitao do titular 2.8.6.1. O titular de certificado e seu representante legal tero amplo acesso a quaisquer dos seus prprios dados e identificaes, e podero autorizar a divulgao de seus registros a outras pessoas. 2.8.6.2. Autorizaes formais podem ser apresentadas de duas formas: a) por meio eletrnico, contendo assinatura vlida garantida por certificado reconhecido pela ICPBrasil; ou b) por meio de pedido escrito com firma reconhecida. 2.8.6.3. Nenhuma liberao de informao permitida sem autorizao formal. 2.8.7. Outras circunstncias de divulgao de informao No se aplica.
14/34
3.1.4. Unicidade de nomes Identificadores Distinguished Name (DN) devem ser nicos para cada AC de nvel imediatamente subseqente ao da AC Raiz. Para cada AC, nmeros ou letras adicionais podem ser includos ao nome para assegurar a unicidade do campo, conforme o padro ITU X.509. A extenso Unique Identifiers no ser admitida para diferenciar as ACs com nomes idnticos. 3.1.5. Procedimento para resolver disputa de nomes A AC Raiz reserva-se o direito de tomar todas as decises referentes a disputas de nomes das ACs de nvel imediatamente subseqente ao seu. Durante o processo de autenticao, a AC que solicita o certificado deve provar o seu direito de uso de um nome especfico (DN) em seu certificado. 3.1.6. Reconhecimento, autenticao e papel de marcas registradas De acordo com a legislao em vigor. 3.1.7. Mtodo para comprovar a posse de chave privada A AC Raiz verifica se a AC credenciada possui a chave privada correspondente chave pblica para a qual est sendo solicitado o certificado digital. A RFC 2510 utilizada para essa finalidade. 3.1.8. Identificao de uma organizao A identificao de uma AC pela AC Raiz executada por meio dos procedimentos descritos no documento CRITRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICPBRASIL [6]. 3.1.9. Autenticao da identidade de um indivduo No se aplica.
15/34
aceitao do certificado se d no momento em que os dados constantes do mesmo so verificados pela AC ou na primeira utilizao da chave privada correspondente. A verificao dos dados do certificado deve ser realizada pela AC titular no prazo de 2 (dois) dias teis, contados a partir do seu recebimento, aps o qual o certificado ser considerado aceito. 4.3.3. Ao aceitar o certificado, a AC titular: a) concorda com as responsabilidades, obrigaes e deveres a ela impostas pelo Termo de Acordo e esta DPC; b) garante que com seu conhecimento, nenhuma pessoa sem autorizao teve acesso chave privada associada com o certificado; c) afirma que todas as informaes de certificado fornecidas durante o processo de credenciamento so verdadeiras e esto reproduzidas no certificado de forma correta e completa. 4.3.4. A no aceitao de um certificado no prazo previsto implica a realizao de nova cerimnia, onde feita a revogao do certificado no aceito e a emisso de novo certificado.
17/34
formulrio SOLICITAO DE REVOGAO DE CERTIFICADO DE AC [8]. Esse formulrio dever ser assinado por seu representante legal. Quando utilizada a verso eletrnica do formulrio, ele deve ser assinado digitalmente e enviado AC Raiz. O formulrio pode tambm ser preenchido em papel, entregue pessoalmente pelo representante AC Raiz e assinado no ato da entrega. 4.4.3.2. O processo de revogao de um certificado de AC precedido, quando for o caso, do recebimento pela AC Raiz da solicitao de revogao e termina quando uma nova LCR, contendo o certificado revogado, emitida e publicada pela AC Raiz. Concludo esse processo, a AC Raiz informa AC afetada a revogao do certificado. 4.4.3.3. O prazo para a revogao de certificado de AC de nvel imediatamente subseqente ao da AC Raiz de no mximo 2 (duas) horas e conta-se a partir do recebimento pela AC Raiz da solicitao de revogao da AC titular do certificado ou da determinao de revogao emitida pela prpria AC Raiz. 4.4.3.4. Um certificado de AC revogado somente pode ser usado para a verificao de assinaturas geradas durante o perodo em que o referido certificado esteve vlido. 4.4.4. Prazo para solicitao de revogao A solicitao de revogao deve ser imediata quando configuradas circunstncias definidas no item 4.4.1 desta DPC. 4.4.5. Circunstncias para suspenso No permitida, no mbito da ICP-Brasil, a suspenso de certificados de AC de nvel imediatamente subseqente ao da AC Raiz. 4.4.6. Quem pode solicitar suspenso No se aplica. 4.4.7. Procedimento para solicitao de suspenso No se aplica. 4.4.8. Limites no perodo de suspenso No se aplica. 4.4.9. Freqncia de emisso de LCR A LCR da AC Raiz atualizada a cada 90 (noventa) dias. Em caso de revogao de certificado de AC de nvel imediatamente ao seu, a AC Raiz emite nova LCR no prazo previsto no item 4.4.3 e notifica todas as ACs de nvel imediatamente subseqente ao seu. 4.4.10. Requisitos para verificao de LCR Todos os certificados das ACs de nvel imediatamente subseqente ao da AC Raiz devem ter a validade verificada, na LCR da AC Raiz, antes de serem utilizados. Tambm deve ser verificada a autenticidade da LCR da AC Raiz, por meio da verificao da assinatura da AC Raiz e do perodo de validade da LCR. 4.4.11. Disponibilidade para revogao/verificao de status on-line No sero aceitos pedidos de revogao on-line ao sistema de certificao da AC Raiz. A nica forma de consulta on-line de status de certificado a realizada por meio da LCR. 4.4.12. Requisitos para verificao de revogao on-line No aplicvel.
18/34
4.4.13. Outras formas disponveis para divulgao de revogao Informaes de revogao de certificado de AC de nvel imediatamente subseqente ao da AC Raiz tambm podem ser divulgadas por meio de sua publicao no Dirio Oficial da Unio ou na pgina web da AC Raiz. 4.4.14. Requisitos para verificao de outras formas de divulgao de revogao As formas de verificao de revogao descritas no item anterior so meramente informativas. 4.4.15. Requisitos especiais para o caso de comprometimento de chave 4.4.15.1. No caso do comprometimento da chave privada de uma AC de nvel imediatamente subseqente ao da AC Raiz, a mesma deve notificar imediatamente a AC Raiz. 4.4.15.2. Uma AC deve garantir que a sua DPC contenha determinaes que definam os meios que sero utilizados para se notificar um comprometimento ou suspeita de comprometimento.
19/34
4.5.2. Freqncia de auditoria de registros 4.5.2.1. A AC Raiz garante que seus registros de auditoria so analisados mensalmente, sempre que houver utilizao de seu sistema de certificao (equipamento off-line, que permanece desligado grande parte do tempo) ou em caso de suspeita de comprometimento da segurana. 4.5.2.2. Todos os eventos significativos so explicados em relatrio de auditoria de registros. Tal anlise envolve uma inspeo breve de todos os registros, verificando que no foram alterados, seguida de uma investigao mais detalhada de quaisquer alertas ou irregularidades nos mesmos. Todas as aes tomadas em decorrncia dessa anlise so documentadas. 4.5.3. Perodo de reteno para registros de auditoria A AC Raiz mantm em suas prprias instalaes os seus registros de auditoria por pelo menos 2 (dois) meses e, subseqentemente, os armazena da maneira descrita no item 4.6. 4.5.4. Proteo de registros de auditoria O sistema de registro de eventos de auditoria inclui mecanismos para proteger os arquivos de auditoria contra leitura no autorizada, modificao e remoo. Informaes manuais de auditoria tambm so protegidas contra a leitura no autorizada, modificao e remoo. 4.5.5. Procedimentos para cpia de segurana (Backup) de registros de auditoria Os registros de eventos e sumrios de auditoria do equipamento off-line utilizado pela AC Raiz tm cpias de segurana mensais ou sempre que houver alguma utilizao desse equipamento. 4.5.6. Sistema de coleta de dados de auditoria O sistema de coleta de dados de auditoria interno AC Raiz uma combinao de processos automatizados e manuais, executada por seu pessoal operacional ou por seus sistemas. 4.5.7. Notificao de agentes causadores de eventos Quando um evento registrado pelo conjunto de sistemas de auditoria, nenhuma notificao enviada pessoa, organizao, dispositivo ou aplicao que causou o evento. 4.5.8. Avaliaes de vulnerabilidade Os eventos que representem possvel vulnerabilidade, detectados na anlise mensal dos registros de auditoria, so analisados detalhadamente e, dependendo de sua gravidade, so registrados em separado. Como decorrncia, aes corretivas so implementadas e registradas para fins de auditoria.
data de expirao ou revogao do certificado; e c) as demais informaes, inclusive arquivos de auditoria, devero ser retidas por, no mnimo, 6 (seis) anos. 4.6.3. Proteo de arquivo Todos os arquivos so protegidos e armazenados fisicamente com os mesmos requisitos de segurana que os de sua instalao. 4.6.4. Procedimentos de registros de arquivo 4.6.4.1. Uma segunda cpia de todo o material descrito no item 4.6.1 armazenada em local externo AC Raiz, recebendo o mesmo tipo de proteo utilizada por ela. 4.6.4.2. Essas cpias seguem os perodos de reteno definidos para os registros dos quais so cpias de segurana. 4.6.4.3. A AC Raiz verifica a integridade das cpias de segurana a cada 6 (seis) meses. 4.6.5. Requisitos para datao de registros Informaes de data e hora nos registros baseiam-se na hora oficial internacional, Coordinated Universal Time UTC e obedecem ao formato YYYYMMDDHHMMSSZ incluindo segundos mesmo que o nmero de segundos seja zero. 4.6.6. Sistema de coleta de dados de arquivo Todos os sistemas de coleta de dados de arquivo utilizados pela AC Raiz em seus procedimentos operacionais so internos. 4.6.7. Procedimentos para obter e verificar informao de arquivo A verificao de informao de arquivo deve ser solicitada formalmente AC Raiz, identificando de forma precisa o tipo e o perodo da informao a ser verificada. O solicitante da verificao de informao deve ser devidamente identificado.
21/34
4.8.2. Revogao de certificado da entidade Procedimentos descritos no PCN da AC Raiz. 4.8.3. Comprometimento de chave de entidade Procedimentos descritos no PCN da AC Raiz. 4.8.4. Segurana dos recursos aps desastre de qualquer espcie Procedimentos descritos no PCN da AC Raiz.
22/34
5.1.4. Exposio gua A sala-cofre da AC Raiz construda na forma de uma clula estanque, inteiria, imune a infiltraes e inundaes. 5.1.5. Preveno e proteo contra incndio 5.1.5.1. A sala-cofre possui sistema para deteco antecipada de fumaa atravs de partculas inicas e sistema de extino de incndio por gs. 5.1.5.2. Em caso de incndio nas instalaes da AC Raiz, o aumento da temperatura interna, dentro da sala-cofre, no dever exceder 50 (cinqenta) graus Celsius e a sala dever suportar essa condio por pelo menos 1 (uma) hora. 5.1.6. Armazenamento de mdia Para garantir a segurana de mdia armazenada, a AC Raiz dispe de ambientes especficos que garantem que as mdias neles armazenadas no sofram nenhum tipo de dano gerado por fatores externos. 5.1.7. Destruio de lixo Todos os documentos em papel com informaes sensveis so destrudos antes de ir para o lixo. Todos os dispositivos eletrnicos no mais utilizveis, que tenham sido anteriormente utilizados no armazenamento de informaes sensveis, so fisicamente destrudos. 5.1.8. Instalaes de segurana (backup) externas (off-site) para AC A AC Raiz possui instalao de backup que atende aos mesmos requisitos de segurana da instalao principal. Sua localizao tal que, em caso de sinistro que torne inoperante a instalao principal, a instalao de backup no atingida e pode se tornar totalmente operacional, em condies idnticas em, no mximo, 48 (quarenta e oito) horas.
b) emisso, expedio, distribuio, revogao e gerenciamento de certificados; c) distribuio de cartes (tokens), quando for o caso. 5.2.1.6. Somente os empregados responsveis por tarefas descritas para o Gerente de Configuraes e o Administrador do Sistema tm acesso ao software e ao hardware do sistema de certificao da AC Raiz. 5.2.2. Nmero de pessoas necessrio por tarefa 5.2.2.1. Controle multiusurio, via o uso de segredo compartilhado, requerido para a gerao e a utilizao da chave privada da AC Raiz, conforme o descrito em 6.2.2. 5.2.2.2. Todas as tarefas executadas no ambiente onde est localizado o equipamento de certificao da AC Raiz necessitam da presena de no mnimo 2 (dois) empregados da AC Raiz. As demais tarefas da AC Raiz podem ser executadas por um nico empregado. 5.2.3. Identificao e autenticao para cada perfil 5.2.3.1. Todo empregado da AC Raiz tem sua identidade e perfil verificados antes de: a) ser includo em uma lista de acesso s instalaes da AC Raiz; b) ser includo em uma lista para acesso fsico ao sistema de certificao da AC Raiz; c) receber um certificado para executar suas atividades operacionais na AC Raiz; d) receber uma conta no sistema de certificao da AC Raiz. 5.2.3.2. Os certificados, contas e senhas utilizados para identificao e autenticao dos empregados devem: a) ser diretamente atribudos a um nico empregado; b) no permitir compartilhamento; c) ser restritos s aes associadas ao perfil para o qual foram criados.
24/34
5.3.3. Requisitos de treinamento Todo o pessoal da AC Raiz em atividades diretamente relacionadas com os processos de emisso, expedio, distribuio, revogao e gerenciamento de certificados recebe treinamento suficiente para o domnio dos seguintes temas: a) princpios e mecanismos de segurana da AC Raiz; b) software de certificao em uso na AC Raiz; c) atividades sob sua responsabilidade; e d) procedimentos de recuperao de desastres e de continuidade do negcio. 5.3.4. Freqncia e requisitos para reciclagem tcnica Todo o pessoal da AC Raiz em atividades diretamente relacionadas com os processos de emisso, expedio, distribuio, revogao e gerenciamento de certificados manter-se- atualizado sobre eventuais mudanas tecnolgicas no sistema de certificao da AC Raiz. Treinamentos de reciclagem so realizados pela AC Raiz sempre que houver a necessidade. 5.3.5. Freqncia e seqncia de rodzio de cargos No estipuladas. 5.3.6. Sanes para aes no autorizadas Na eventualidade de uma ao no autorizada, real ou suspeita, realizada por pessoa responsvel por processo de emisso, expedio, distribuio, revogao ou gerenciamento de certificados, a AC Raiz suspende o seu acesso ao sistema de certificao e toma as medidas administrativas e legais cabveis. 5.3.7. Requisitos para contratao de pessoal O pessoal da AC Raiz no exerccio de atividades diretamente relacionadas com os processos de emisso, expedio, distribuio, revogao e gerenciamento de certificados contratado conforme o estabelecido na PS da ICP-Brasil. 5.3.8. Documentao fornecida ao pessoal A AC Raiz disponibiliza para todo o seu pessoal: sua DPC; a) a PS da ICP-Brasil; b) documentao operacional relativa a suas atividades; c) contratos, normas e polticas relevantes para suas atividades.
6.1.1.2. O par de chaves criptogrficas de uma AC de nvel imediatamente subseqente ao da AC Raiz gerado pela prpria AC, aps o deferimento do seu pedido de credenciamento e a conseqente autorizao de funcionamento no mbito da ICP-Brasil. 6.1.1.3. O algoritmo a ser utilizado para as chaves criptogrficas da AC Raiz est definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [10]. 6.1.2. Entrega da chave privada entidade No se aplica. 6.1.3. Entrega da chave pblica para emissor de certificado 6.1.3.1. A AC de nvel imediatamente subseqente ao da AC Raiz entrega AC Raiz cpia de sua chave pblica, em formato definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICPBRASIL [10]. 6.1.3.2 Essa entrega feita por representante legalmente constitudo da AC, em cerimnia especfica, em data e hora previamente estabelecidas pela AC Raiz. Todos os eventos ocorridos nessa cerimnia so registrados para fins de auditoria. 6.1.4. Disponibilizao de chave pblica da AC Raiz para usurio 6.1.4.1. A entrega do certificado da AC Raiz para as ACs de nvel imediatamente subseqente ao seu feita no momento da disponibilizao do certificado da AC, utilizando-se para isto o formato definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [10]. 6.1.4.2. A disponibilizao do certificado da AC Raiz para os demais usurios da ICP-Brasil realizada por uma das seguintes formas: a) no momento da disponibilizao do certificado para seu titular; b) em diretrio; c) na pgina Web da AC Raiz ou das ACs e ACT integrantes da ICP-Brasil; d) por outros meios seguros definidos pelo CG da ICP-Brasil. 6.1.5. Tamanhos de chave O tamanho das chaves criptogrficas assimtricas da AC Raiz e das ACs de nvel imediatamente subseqente ao seu encontra-se definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [10]. 6.1.6. Gerao de parmetros de chaves assimtricas Os parmetros de gerao de chaves assimtricas da AC Raiz adotam o padro definido no documento PADRES E ALGORIOS CRIPTOGRFICOS DA ICP-BRASIL [10]. 6.1.7. Verificao da qualidade dos parmetros Os parmetros so verificados de acordo com as normas referenciadas no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [10]. 6.1.8. Gerao de chave por hardware/software A AC Raiz utiliza um componente seguro de hardware para a gerao de seu par de chaves, de seu certificado, dos certificados das ACs de nvel imediatamente subseqente ao seu e para a gerao e assinatura de sua LCR. O componente seguro de hardware utiliza um mecanismo de deteco de violao.
26/34
6.1.9. Propsitos de uso de chave (conforme o campo key usage na X.509 v3) A chave privada da AC Raiz utilizada apenas para a assinatura de seu prprio certificado, dos certificados das ACs de nvel imediatamente subseqente ao seu e de sua LCR.
27/34
6.2.9. Mtodo de destruio de chave privada Alm do estabelecido no item 6.2.8, todas as cpias de segurana da chave privada da AC-Raiz devem ser destrudas, como tambm todos os discos rgidos, tokens, mdulos criptogrficos e qualquer mdia de armazenamento que as tenham hospedado por algum perodo.
e) mecanismos internos de segurana para garantia da integridade de dados e processos crticos; e f) mecanismos para cpias de segurana (backup). 6.5.1.3 Essas caractersticas so implementadas pelo sistema operacional ou por meio da combinao deste com o software de certificao e mecanismos de segurana fsica. 6.5.2. Classificao da segurana computacional No se aplica.
29/34
7.1.2. Extenses de certificado O certificado da AC Raiz implementa as seguintes extenses previstas na verso 3 do padro ITU X.509: a) basicConstraints: contm o campo cA=True. O campo pathLenConstraint no utilizado. b) keyUsage: contm apenas os bits keyCertSign(5) e cRLSign(6) ligados. Os demais bits esto desligados. c) cRLDistributionPoints: contm o endereo na Web onde se obtm a LCR correspondente ao certificado: i) para certificados da cadeia inicial: http://acraiz.icpbrasil.gov.br/LCRacraiz.crl; ii) para certificados da cadeia V1: http://acraiz.icpbrasil.gov.br/LCRacraizv1.crl; iii) para certificados da cadeia V2: http://acraiz.icpbrasil.gov.br/LCRacraizv2.crl; iv) para certificados da cadeia V3: http://acraiz.icpbrasil.gov.br/LCRacraizv3.crl. d) Certificate Policies: especifica o Object Identifier (OID) da DPC da AC Raiz e o atributo id-qt-cps com o endereo na Web dessa DPC (http://acraiz.icpbrasil.gov.br/DPCacraiz.pdf). e) SubjectKeyIdentifier: contm o hash da chave pblica da AC Raiz. 7.1.3. Identificadores de algoritmo O certificado da AC Raiz assinado com o uso do algoritmo definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [10]. 7.1.4. Formatos de nome Os nomes do titular e do emissor do certificado da AC Raiz, constantes do campo Distinguished Name (DN), so os mesmos e seguem o padro ITU X.500/ISO 9594, como abaixo descrito: a) para certificado da cadeia inicial: C = BR O = ICP-Brasil OU = Instituto Nacional de Tecnologia da Informacao - ITI CN = Autoridade Certificadora Raiz Brasileira b) para certificado da cadeia V1: C = BR O = ICP-Brasil OU = Instituto Nacional de Tecnologia da Informacao - ITI CN = Autoridade Certificadora Raiz Brasileira v1 c) para certificado da cadeia V2 C = BR O = ICP-Brasil OU = Instituto Nacional de Tecnologia da Informao ITI CN = Autoridade Certificadora Raiz Brasileira v2 d) para certificado da cadeia V3: C = BR
30/34
O = ICP-Brasil OU = Instituto Nacional de Tecnologia da Informao ITI CN = Autoridade Certificadora Raiz Brasileira v3
7.1.5. Restries de nome No so admitidos caracteres especiais ou de acentuao nos campos do DN. 7.1.6. OID (Object Identifier) da DPC O OID desta DPC 2.16.76.1.1.0 7.1.7. Uso da extenso Policy Constraints No se aplica. 7.1.8. Sintaxe e semntica dos qualificadores de poltica No se aplica. 7.1.9. Semntica de processamento para as extenses crticas de PC No se aplica.
31/34
DN do titular: C = BR O = ICP-Brasil OU = <CN da cadeia> CN = <nome da AC subordinada> DN do emissor: C = BR O = ICP-Brasil OU = Instituto Nacional de Tecnologia da Informacao - ITI CN = <CN da cadeia> 7.2.5. Restries de nome O nome da AC titular do certificado deve ser submetido aprovao no processo de credenciamento. No so admitidos caracteres especiais ou de acentuao nos campos do DN. 7.2.6. OID (Object Identifier) da DPC A AC de nvel imediatamente subseqente ao da AC Raiz deve informar neste item o OID fornecido para sua DPC pela AC Raiz. 7.2.7. Uso da extenso Policy Constraints No se aplica. 7.2.8. Sintaxe e semntica dos qualificadores de poltica No se aplica. 7.2.9. Semntica de processamento para as extenses crticas de PC No se aplica.
32/34
9. DOCUMENTOS REFERENCIADOS
9.1 .Os documentos abaixo so aprovados por Resolues do Comit-Gestor da ICP-Brasil, podendo ser alterados, quando necessrio, pelo mesmo tipo de dispositivo legal. O stio http://www.iti.gov.br publica a verso mais atualizada desses documentos e as Resolues que os aprovaram. Ref. [1] [2] Nome do documento POLTICA DE SEGURANA DA ICP-BRASIL REQUISITOS MNIMOS PARA AS DECLARAES DE PRTICAS DE CERTIFICAO DAS AUTORIDADES CERTIFICADORAS DA ICP-BRASIL REQUISITOS MNIMOS PARA AS POLTICAS DE CERTIFICADO NA ICP-BRASIL DIRETRIZES DA POLTICA TARIFRIA DA AUTORIDADE CERTIFICADORA RAIZ DA ICP-BRASIL CRITRIOS E PROCEDIMENTOS PARA FISCALIZAO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL CRITRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL CRITRIOS E PROCEDIMENTOS PARA REALIZAO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICPBRASIL Cdigo DOC-ICP-02 DOC-ICP-05
[9]
DOC-ICP-08
33/34
9.2. Os documentos abaixo so aprovados por Instruo Normativa da AC Raiz, podendo ser alterados, quando necessrio, pelo mesmo tipo de dispositivo legal. O stio http://www.iti.gov.br publica a verso mais atualizada desses documentos e as Instrues Normativas que os aprovaram. Ref. [10] Nome do documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICPBRASIL Cdigo DOC-ICP-01.01
9.3. Os documentos abaixo so aprovados pela AC Raiz, podendo ser alterados, quando necessrio, mediante publicao de uma nova verso no stio http://www.iti.gov.br . Ref. [7] [8] Nome do documento Formulrio REVALIDAO DOS DADOS CADASTRAIS E SOLICITAO DE NOVO CERTIFICADO Formulrio SOLICITAO DE REVOGAO DE CERTIFICADO DE AC Cdigo ADE-ICP.01.A ADE-ICP.01.B
34/34